Microsoft 365 + GDPR — mit kell tudnia minden KKV-tulajdonosnak 2026-ban
A Microsoft 365 hazai KKV-piacon vezető, de a GDPR-megfelelőség nem automatikus. Adattároló helyek, DPA, jogosultságok, retention — a fontos, tisztázott információk.
DesignNET csapat6 perc olvasás
Ha 2026-ban magyar KKV-t vezetsz, a céged 80%-os valószínűséggel Microsoft 365-öt használ. Az Outlook, a Teams, a OneDrive, a SharePoint — mind ott vannak a mindennapi munkában. És nagyon ritkán hallani róla, de a tény az: a Microsoft 365-tel kapcsolatban Magyarországon GDPR-feladatod van, és ha nem rendezed őket, a NAIH ki tud szabni 20 millió eurós bírságot — és igen, ezt magyar KKV-ra is rászabják 1-3 millió Ft-os szinten.
Ez a cikk nem jogász-tanácsadás, hanem egy gyakorlati átfogó kép arról, mit kell rendben tartani egy KKV-tulajdonosnak a Microsoft 365 + GDPR területén.
Adatkezelő (data controller): aki eldönti, milyen adatot, mire használ. Ez te vagy, mint cég.
Adatfeldolgozó (data processor): aki a kezelő nevében dolgozik az adattal. Ez a Microsoft.
Ez fontos: te vagy a felelős mindenért, amit a céged a Microsoft 365-ben tárol, ide értve a vásárlói e-maileket, az ügyféladatokat a SharePoint-on, a Teams-meeting felvételeket. A Microsoft csak az "infrastruktúrát" adja.
2. Data Processing Addendum (DPA) — szerződésileg muszáj
A GDPR 28. cikke előírja, hogy az adatkezelő és az adatfeldolgozó közötti viszonyt írásban kell rögzíteni. A Microsoft erre szolgál az ún. Online Services Data Protection Addendum (DPA) dokumentummal.
A jó hír: ez automatikusan a Microsoft 365 szerződés része. Amikor előfizetsz, elfogadod. Megtekinthető itt: Microsoft Trust Center.
Mit kell tenned: legyen lemenve a DPA aktuális verziója a céges papírok között, a Microsoft 365 előfizetésed-szerződéssel együtt. NAIH-audit során elsőként ezt fogják kérni.
3. Hol tárolódnak az adataid?
A magyar KKV-knál ez egy állandó kérdés: az ügyfeleim e-mailei Magyarországon, az EU-ban vagy az USA-ban tárolódnak?
A Microsoft a Microsoft 365 esetében EU-tárhelyet biztosít alapból, ha az előfizetést EU-ban regisztrálták. Konkrétabban:
EU Data Boundary kezdeményezés (2025-ben véglegesedett): a központi felhasználói adatok (Outlook, Teams, OneDrive, SharePoint) EU-régióban tárolódnak és dolgoznak fel
A naplók és bizonyos diagnosztikai adatok az USA-ban is utazhatnak — ezt a DPA tartalmazza
Hol nézheted meg konkrétan? Microsoft 365 Admin Center → Beállítások → Org settings → Organization profile → Data location. Magyar bejegyzésű cégnél itt "EU" vagy "Europe" kell hogy szerepeljen.
Ha valamiért az USA-ban van — kérj áttelepítést a Microsoft támogatástól. Ez egyszeri, ingyenes művelet, de kéthetes művelet.
4. Adatmegőrzési politika (Retention)
A GDPR egyik alapelve: csak addig őrizz adatot, amíg szükséges. Ha egy ügyfél visszavonja a hozzájárulását, és tíz év óta tárolod az e-mailjeit "csak hátha valamikor megkérdezi", akkor jogsértést követsz el.
A Microsoft 365 Compliance Center-ben automatikus retention policy-t tudsz beállítani:
Outlook e-mailek: pl. 3 év után automatikus törlés
OneDrive fájlok: pl. utoljára módosított dátum + 5 év
Iroda dolgozó papírmunkával — a digitalizáció nem helyettesíti a megfelelőségi felelősséget
5. Az érintetti jogok teljesítése
A GDPR alapján minden ügyfeled jogosult a következőkre:
Hozzáférés — kérheti, hogy milyen adatait kezeled
Helyesbítés — kérheti, hogy javítsd a hibákat
Törlés ("elfeledtetéshez való jog") — kérheti, hogy mindent töröld
Adathordozhatóság — kérheti, hogy gépiesen kiolvasható formátumban add át az adatait
Tiltakozás — pl. marketing célú felhasználás ellen
A kérelem érkezésétől 30 napon belül kell válaszolnod.
A Microsoft 365-ben ezt a Compliance Manager-en keresztül lehet rendezetten kezelni:
eDiscovery funkció: megkeresi az összes helyen (Outlook, SharePoint, OneDrive, Teams) az adott személyhez kötődő adatokat
Bulk export a kért fájlokat egyetlen ZIP-ben
Ezt csak Microsoft 365 Business Premium (vagy fölötte) tudja. A Business Standard-en nincs eDiscovery → manuálisan kell mindent keresgélned.
6. Adatszivárgás-bejelentés (Breach notification)
Ha adatszivárgás történik (pl. egy admin fiók kompromittálódik, vagy ransomware-támadás ér), a GDPR 33. cikke szerint:
72 órán belül értesíteni kell a NAIH-ot
Ha magas a kockázat az érintettekre, őket is értesíteni kell
A Microsoft maga is köteles 72 órán belül értesíteni Téged, ha a Microsoft 365-ön belül szivárgás történik (DPA-ban rögzítve).
Mi a KKV-tulajdonosnak a feladata?
Legyen egy incidens-kezelési terv (lásd a ransomware-cikkünket) — ki kit hív, milyen sorrendben
Microsoft Defender Alert legyen aktív és nézve — minden gyanús bejelentkezés azonnal e-mailben
NAIH bejelentési űrlap legyen előre kitöltve, csak a konkrét incidens-adatokat kelljen beletenni
7. Microsoft 365 Business Premium — a magyar KKV-számára ajánlott szint
Most jön a kemény üzenet: a Microsoft 365 Business Standard nem elég a GDPR teljes megfelelőséghez. Az alábbi fontos funkciók csak a Business Premium-tól vannak benne:
Microsoft Defender for Business (EDR — ld. ransomware-cikk)
Conditional Access (csak ismert eszközről engedi a bejelentkezést)
eDiscovery (érintetti jogok)
Microsoft Intune (eszköz-menedzsment)
Azure AD Premium P1 (multi-factor authentication, conditional access)
Information Protection (érzékeny dokumentumok automatikus címkézése)
Az árkülönbség: Business Standard ~2.000 Ft/user/hó, Business Premium ~4.500 Ft/user/hó. Egy 20 fős cégnél ez havi 50 ezer Ft többletköltség — DE cserébe legalább 50%-os ransomware-kockázat-csökkenés és GDPR-megfelelőség.
Nálunk minden új KKV-ügyfélnek Business Premium-ot ajánlunk, és ez nem véletlen.
8. Mit ne tegyél?
Néhány gyakori KKV-hibák:
❌ Vásárolj fiókonkénti Microsoft 365-öt egyenkénti vásárlással. Mindig Business-szerződéssel, központi admin-felülettel. Ha egy kolléga elmegy, perceken belül tudd ki-zárni.
❌ Engedj minden felhasználónak global admin jogot. Csak 1-2 főnél legyen, és különálló admin-fiókkal, soha ne a napi e-mailező fiókkal.
❌ Mentés helyett OneDrive-szinkronizálás. Olvasd el a 3-2-1 backup szabály cikkünket — a OneDrive nem backup.
❌ Külső munkatársaknak ad-hoc fiók-megosztás. Microsoft 365 Business Premium-mal Guest accounts vagy B2B beállítás van — szabályozott módon.
❌ Soha ne tesztelt incidens-kezelési terv. Évente egyszer csinálj egy "tűzgyakorlatot" — szimulálj egy adatszivárgást, és nézd meg, működik-e a folyamat.
Összefoglalva
A Microsoft 365 + GDPR témakör nem rakéta-tudomány, de figyelmet és tudatos beállítást igényel. A három legfontosabb dolog:
Microsoft 365 Business Premium-ra váltani (vagy felsőbb csomagra)
Retention policy-t beállítani a Compliance Center-ben
Incidens-kezelési tervet és Defender-riasztásokat üzemeltetni
Ha azt érzed, hogy a Te céged GDPR-szempontból nincs rendben a Microsoft 365-ön belül, kérj egy ingyenes auditot — 1,5 órás konzultációval végigvesszük a 12 pontos GDPR-checklist-et, és látni fogod pontosan, hol állsz. A teljes setup-ot és üzemeltetést a rendszerüzemeltetés csomagban lefedjük.
A cikk célja általános tájékoztatás. A GDPR egyedi értelmezése jogi szakértelmet igényel — komolyabb kérdésekben mindig konzultálj adatvédelmi tisztviselővel vagy ügyvéddel.
WindowsFrissítés
Windows 11 frissítés céges hálózatban — mire figyeljünk 2026-ban
